前面我們已經(jīng)描述過的Duqu2.0實現(xiàn)原理，但是并沒有介紹它具有的”可持續(xù)性”機制——這可能讓用戶得出結(jié)論：在所有被感染的機器除去惡意軟件就像重啟那樣簡單。然而，事情的真相其實更為復(fù)雜。

技術(shù)剖析

攻擊者創(chuàng)建了一個不尋常的持續(xù)性模塊(他們將其部署在‘已淪陷’的網(wǎng)絡(luò)服務(wù)器上)。它服務(wù)一double函數(shù)—支持一種C&C通信方案。該organization-level 的持續(xù)性是由一驅(qū)動程序(被作為一正常的系統(tǒng)服務(wù)安裝)實現(xiàn)的。在64位系統(tǒng)上，需要嚴(yán)格的Authenticode電子簽名。我們已經(jīng)了解到兩種類似的可持續(xù)性驅(qū)動被部署于該攻擊過程中。

在防火墻，網(wǎng)關(guān)，或任意其它服務(wù)器(在一端直接接入網(wǎng)絡(luò)，并在其它端接入公共網(wǎng)絡(luò))上安裝這些惡意驅(qū)動程序。通過使用它們，它們可以在某個時刻實現(xiàn)多個目的：訪問內(nèi)部網(wǎng)絡(luò)基礎(chǔ)設(shè)施，避開日志記錄并保持一種持續(xù)存在的形式。

在本質(zhì)上，驅(qū)動重定向網(wǎng)絡(luò)流量并從網(wǎng)關(guān)機(運行它)中進行該操作。為了轉(zhuǎn)發(fā)連接，攻擊者首先不得不通過使用一種秘密關(guān)鍵字來傳遞基于網(wǎng)絡(luò)的“knocking”。到目前為止我們已經(jīng)從收集的樣本中看到兩個不同的秘密關(guān)鍵字：“romanian.antihacker” 和“ugly.gorilla”。

我們已在我們的Whitepaper中描述過這些關(guān)于Duqu2.0的驅(qū)動 (見 “The ”portserv.sys” driver analysis” 部分).接下來回顧一些重要細(xì)節(jié)。驅(qū)動程序監(jiān)聽網(wǎng)絡(luò)并尋找特殊的秘密關(guān)鍵字(在那個案例中是“romanian.antihacker” )。在那之后，它保存主機(已傳遞正確秘密關(guān)鍵字)的IP，并開始將所有報文從443端口重定向到那臺服務(wù)器的445(SMB)或3389(Remote Desktop)。

這方法有效地讓攻擊者可以打開SMB隧道(遠(yuǎn)程訪問文件系統(tǒng))并通過網(wǎng)關(guān)服務(wù)器使用Remote Desktop，雖然它看起來像是HTTPS流量(端口443)。

我們已探索到“romanian.antihacker”驅(qū)動所做的另一類似工作，這里使用更一般的方法建立的更多的連接：

1.    如果驅(qū)動識別到秘密關(guān)鍵字是“ugly.gorilla1”那么所有來自攻擊者的IP流量將從433（HTTPS）被重定向到445（SMB）。
2.    如果驅(qū)動識別到秘密關(guān)鍵字是“ugly.gorilla2” 那么所有來自攻擊者的IP流量將從433（HTTPS）被重定向到3389 (RDP)。
3.    如果驅(qū)動識別到秘密關(guān)鍵字是“ugly.gorilla3” 那么所有來自攻擊者的IP流量將從433（HTTPS）被重定向到135 (RPC)。
4.    如果驅(qū)動識別到秘密關(guān)鍵字是“ugly.gorilla4” 那么所有來自攻擊者的IP流量將從433（HTTPS）被重定向到139 (NETBIOS)。
5.    如果驅(qū)動識別到秘密關(guān)鍵字是“ugly.gorilla5” 那么所有來自攻擊者的IP流量將從1723 （PPTP）被重定向到445 (SMB)。
6.    如果驅(qū)動識別到秘密關(guān)鍵字是“ugly.gorilla6” 那么所有來自攻擊者的IP流量將從433（HTTPS）被重定向到47012 (currently unknown)。

我們想指出一個看起來相當(dāng)可疑的端口：47012。到目前為止，我們并沒有看到過任何其他的Duqu2.0組件使用該端口，也沒有發(fā)現(xiàn)過任意其它的一般惡意軟件，后門，或合法軟件使用該端口(根據(jù)SANS的報告顯示)。然而，考慮到該端口號是被硬編碼進惡意軟件的，這對于Duqu2.0來說可能是一個很棒的指示標(biāo)記，用該指示標(biāo)記指出‘被攻陷’的目標(biāo)。

惡意軟件部分帶有秘密關(guān)鍵字

該64位驅(qū)動含有位于其內(nèi)部的DLL，名為“termport.sys”,雖然該文件名在文件系統(tǒng)中被稱為“portserv.sys”。

這似乎意味著攻擊者會因不同的操作而改變文件名并且如果只是檢測該攻擊也并不能單獨依賴于文件名。編譯時間戳是偽造的：“Jul 23 18:14:28 2004”。

所有已發(fā)現(xiàn)的驅(qū)動文件位于“C:\Windows\System32\drivers\”。

也許在該攻擊策略中最重要的部分是用于64位驅(qū)動的電子簽名。因為在64位Windows系統(tǒng)上，強制要求驅(qū)動應(yīng)持有一有效的電子簽名。

已標(biāo)注為“HON HAI PRECISION INDUSTRY CO. LTD.” (即是眾所周知的“Foxconn Technology Group”, 世界上最大的電子制造商之一)。

攻擊者使用的驅(qū)動的電子簽名

根據(jù)驅(qū)動信息可看出它在 2015年2月19日20:31完成簽名。以下是由SysInternal的sigcheck 公用程序提供的細(xì)節(jié)：

Verified:              Signed
 Signing date:   20:31 19.02.2015
 Publisher:            HON HAI PRECISION INDUSTRY CO. LTD.
 Description:        Port Optimizer for Terminal Server
 Product:               Microsoft Windows Operating System
 Prod version:   6.1.7601
 File version:   6.1.7601 built by: WinDDK
 MachineType:   64-bit
 MD5:     92E724291056A5E30ECA038EE637A23F
 SHA1:   478C076749BEF74EAF9BED4AF917AEE228620B23
 PESHA1: F8457AFBD6967FFAE71A72AA44BC3C3A134103D8
 PE256:  2891059613156734067A1EF52C01731A1BCFB9C50E817F3CA813C19114BFA556
 SHA256:  BC4AE56434B45818F57724F4CD19354A13E5964FD097D1933A30E2E31C9BDFA5

根據(jù)Wikipedia上的說法, “Foxconn Technology Group”是世界上最大的電子承包商，其總部位于臺灣新北市土城區(qū)。

Foxconn的主要顧客包括或已包括一些世界上最大的企業(yè)：

·         Acer Inc.
·         Amazon.com
·         Apple Inc.
·         BlackBerry Ltd.
·         Cisco
·         Dell
·         Google
·         Hewlett-Packard
·         Huawei
·         Microsoft
·         Motorola Mobility
·         Nintendo
·         Nokia
·         Sony
·         Toshiba
·         Xiaomi
·         Vizio

富士康制造了多個流行的產(chǎn)品，包括 BlackBerry, iPad, iPhone, Kindle, PlayStation 4, Xbox One and Wii U。

在2013年二月，制造商使用同一證書對多數(shù)用于Dell laptops的WatchDog Timer Kernel drivers (WDTKernel.sys)進行簽名。

總結(jié)

之前，在我們對Stuxnet和Duqu的研究期間，已觀察到惡意軟件(使用Jmicron和Realtek證書)被簽名的現(xiàn)象。竊取電子證書并對惡意軟件簽名似乎是Duqu攻擊者慣用的技巧。我們沒有確認(rèn)這些供應(yīng)商哪些已被受害，但是我們已指出Duqu攻擊者感興趣的是硬件制造商如Foxconn, Realtek和 Jmicron。我們也觀察到感染現(xiàn)象與硬件制造商(如APAC，包括ICS和SCADA計算機設(shè)備制造商)相關(guān)聯(lián)，這已在2014年/2015年的攻擊案例中得到了證實。

除了這些Duqu驅(qū)動之外，另一個有趣的現(xiàn)象是我們并沒有發(fā)現(xiàn)用相同證書簽名的任意其他惡意軟件。

這排除了證書被泄露的可能性且它已被多個小組使用?？雌饋硭坪踔该髁薉uqu攻擊者們只是一個群體(有這些證書的訪問權(quán))，從而證實了他們黑掉硬件制造商的目的是得到這些證書。

最后，有趣的事是，Duqu攻擊者并沒有在兩次的攻擊中使用同一證書。這是我們從2011年和2015年中了解到的關(guān)于Duqu的情報。如果確實如此，則意味著攻擊者可能從其它制造商中竊取電子證書以在針對下一攻擊目標(biāo)時使用。這將是一個極需要注意的問題，因為該問題可能讓我們不再輕易相信電子證書的安全性。

Verisign 和 HON HAI都已報告了關(guān)于Duqu2.0惡意軟件中使用的證書信息。

IOC

樣本MD5 (portserv.sys):

92e724291056a5e30eca038ee637a23f

Duqu攻擊者使用的Foxconn證書的序列號：

‎25 65 41 e2 04 61 90 33 f8 b0 9f 9e b7 c8 8e f8

惡意驅(qū)動使用的完整證書憑據(jù)：

—–BEGIN CERTIFICATE—– 
 MIIFmTCCBIGgAwIBAgIQJWVB4gRhkDP4sJ+et8iO+DANBgkqhkiG9w0BAQUFADCB 
 tDELMAkGA1UEBhMCVVMxFzAVBgNVBAoTDlZlcmlTaWduLCBJbmMuMR8wHQYDVQQL 
 ExZWZXJpU2lnbiBUcnVzdCBOZXR3b3JrMTswOQYDVQQLEzJUZXJtcyBvZiB1c2Ug 
 YXQgaHR0cHM6Ly93d3cudmVyaXNpZ24uY29tL3JwYSAoYykxMDEuMCwGA1UEAxMl 
 VmVyaVNpZ24gQ2xhc3MgMyBDb2RlIFNpZ25pbmcgMjAxMCBDQTAeFw0xMjA4MjUw 
 MDAwMDBaFw0xNTA4MjUyMzU5NTlaMIHcMQswCQYDVQQGEwJUVzEPMA0GA1UECBMG 
 VEFJV0FOMREwDwYDVQQHEwhUVS1DSEVORzEsMCoGA1UEChQjSE9OIEhBSSBQUkVD 
 SVNJT04gSU5EVVNUUlkgQ08uIExURC4xPjA8BgNVBAsTNURpZ2l0YWwgSUQgQ2xh 
 c3MgMyAtIE1pY3Jvc29mdCBTb2Z0d2FyZSBWYWxpZGF0aW9uIHYyMQ0wCwYDVQQL 
 FARQQ0VHMSwwKgYDVQQDFCNIT04gSEFJIFBSRUNJU0lPTiBJTkRVU1RSWSBDTy4g 
 TFRELjCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBALzM40T355R4ov9F 
 OcwiBpBwRk5047T5PxoabBPGyhqjqVyTJ3vxYWunUsGJpq2myS7uPmDkPXc+qExE 
 SRBIgruiGpazeqXsP7EfEr8BRU4iVvKmD//m5uZvqEAsz6FzJ/PMlfiZponm5PLa 
 hcIM9AtqdhqDek7taoAaPUbYjY2wgan8+jaNWo0BzmvimN74AC5N0aZgTFBvIRux 
 Ev2EO1x4Ypz3UqFwMTHHdexJqM19W20mmbpjGfoxkfl4yUuUg5O4tdgTbZVF9mui 
 rWpVCuGcB1iUpUxTCoidGfx1ROkzYgLV7XLt50Iir0btqM4tshG4GJUhAX+rEy+r 
 sr5gFnUCAwEAAaOCAXswggF3MAkGA1UdEwQCMAAwDgYDVR0PAQH/BAQDAgeAMEAG 
 A1UdHwQ5MDcwNaAzoDGGL2h0dHA6Ly9jc2MzLTIwMTAtY3JsLnZlcmlzaWduLmNv 
 bS9DU0MzLTIwMTAuY3JsMEQGA1UdIAQ9MDswOQYLYIZIAYb4RQEHFwMwKjAoBggr 
 BgEFBQcCARYcaHR0cHM6Ly93d3cudmVyaXNpZ24uY29tL3JwYTATBgNVHSUEDDAK 
 BggrBgEFBQcDAzBxBggrBgEFBQcBAQRlMGMwJAYIKwYBBQUHMAGGGGh0dHA6Ly9v 
 Y3NwLnZlcmlzaWduLmNvbTA7BggrBgEFBQcwAoYvaHR0cDovL2NzYzMtMjAxMC1h 
 aWEudmVyaXNpZ24uY29tL0NTQzMtMjAxMC5jZXIwHwYDVR0jBBgwFoAUz5mp6nsm 
 9EvJjo/X8AUm7+PSp50wEQYJYIZIAYb4QgEBBAQDAgQQMBYGCisGAQQBgjcCARsE 
 CDAGAQEAAQH/MA0GCSqGSIb3DQEBBQUAA4IBAQA9niTkOi3raLWjtQBJK3br8RDS 
 X+6NtHj/OhSuFzVsJcmhvaf4DIhJ00ghScXcZZycod/7kYN9NBIrTMqlB5GsOuWI 
 /TPk9HoIvEoVEoliuEBwDiHbIidaLKcS3sPqgV0WNx46JYmCI/++KMCZ7zfDSlZb 
 213OpauHuQj7tUIKGlEKq7qIvGaR+EUcxpgVR/AxuxTtjUWaSItCM2vMGKUMDNXH 
 rN+2IYeHsnMqe68RoIRLlq3BPQkA+JcpjjV2Td5Q4Y2xj7E558EQ4utYduwCv+kq 
 OQgeV4KumDaoN9Y7+e79jWzoIkKM4IxQ8u1jfxGuG35l9k7seksYOwdM1dN5 
 —–END CERTIFICATE—–